2015年5月、独立行政法人情報処理推進機構(以下、「IPA」という。)では、暗号技術評価プロジェクトCRYPTREC の活動を通じ、オンラインショッピング、インターネットバンキング、ネットトレードなどのサービスで使用するSSL(Secure Socket Layer)/TLS(Transport Layer Security)プロトコルの適正な利用促進を目的として、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするため、SSL/TLS暗号設定ガイドライン (以下「設定ガイドライン」という。)を公開しました。
その後、一般に販売されているSSL/TLSを利用するアプライアンス製品(以下、SSL/TLSアプライアンス製品という)の設定方法等への要望が多数寄せられたため、SSL/TLSに関してどのような設定が可能であるか、及び設定ガイドラインにどの程度準拠した設定が可能であるか等を明らかにするため、本調査を行いました。なお、合計14個のSSL/TLSアプライアンス製品を調査対象としていますが、SSL/TLSの設定方法が本調査で想定する調査条件と異なる2製品を解説から除外し、報告書では12製品について設定方法等を解説しています。
本報告書をきっかけとして製品マニュアルにSSL/TLSに関する設定・変更方法が分かりやすく記載されるなどの整備・提供が進むことや、ひいては製品利用者が適切な設定をもれなく実施するようになることを期待しています。
(1) デフォルトでの暗号設定内容の調査
対象製品について、実際に動作環境を構築し、デフォルト設定でのプロトコルバージョン、暗号スイート等の暗号設定内容を調査しました。
通常、SSL/TLSアプライアンス製品のデフォルト設定は安全性よりも相互接続性を重視しており、調査の結果、設定ガイドラインの推奨セキュリティ型の要求設定項目に11製品が準拠していないこと、また高セキュリティ型の要求設定項目に12製品すべてが準拠していないことが裏付けられました。
(2)暗号設定方法の調査
SSL/TLSに関して、プロトコルバージョンや暗号スイート等についてどのような暗号設定が可能であるかを調査し、その設定方法を取りまとめました。なお、設定時に操作方法がわかりやすく伝わるよう、画面キャプチャを用いて設定手順をまとめています。
(3) 暗号設定内容と設定ガイドラインでの設定要求との差分の調査・分析
設定ガイドラインでの設定要求にもっとも準拠していると思われる暗号設定内容になる暗号設定方法を調査しました。その際、設定ガイドラインに記載の高セキュリティ型、推奨セキュリティ型、セキュリティ例外型という3種類の設定要求について、各々調査・分析を行いました。
その結果、12製品が推奨セキュリティ型に、9製品が高セキュリティ型の要求設定項目に準拠できることがわかりました。なお、セキュリティ例外型では、セキュリティ例外型をサポート外の1製品を除いた11製品すべてで準拠可能でした。
アンケートのお願い
よろしければ今後のサービス向上を図るため、「SSL/TLSアプライアンス製品の暗号設定方法等の調査報告書」に関するアンケートにご協力ください。
>
アンケート画面へ
IPA 技術本部 セキュリティセンター 稲垣/神田
TEL:03-5978-7550 FAX:03-5978-7514 E-mail:
